Du triffst sehr viele implizite Annahmen, die nicht notwendigerweise zutreffen oder ganz andere Konsequenzen haben. Ich fange mal an:
Du gehst davon aus, eine Cloud müsste immer von einem Dritten angeboten werden.
Du gehst davon aus, dass der Client proprietär ist und man ihn verwenden müsste.
Du gehst davon aus, dass der Client infiltierbar ist (was stimmen kann), aber außerdem, dass er das erste Ziel ist, wenn man an deine Daten wollte.
Zunächst kannst du eine Cloud auch selbst betreiben, z.B. Nextcloud. Die kannst du auf deinem eigenen Rechner zuhause oder auf einem gemieteten Server oder auf einem V-Server oder auf einem Root-Server betreiben. In den letztgenannten Fällen kontrollierst du natürlich nicht die Hardware.
Für die Nextcloud (auch bei Owncloud) sind Server und Client freie Software. Das bedeutet, selbst wenn du deine Nextcloud nicht selbst hostest, sondern zu einem gewerblichen Anbieter gehst (gibt es), ist der Client weiterhin freie Software und dementsprechend ist das Risiko für eine Backdoor deutlich reduziert.
Wenn du dich für ein anderes Angebot entscheidest und dessen Client proprietär ist (ja, ich rede von Dropbox), dann kann es natürlich sein, dass dir da was untergejubelt wird. Die Frage ist, ob man den Clienten verwenden muss. Häufig ist auch Zugriff über WebDAV möglich. Das kann dein Dateibrowser ohnehin, weil es ein freier Standard ist. Wenn du dann noch, wie geplant, lokal verschlüsselst, dann bist du weitgehend auf der sicheren Seite.
Das alles ändert aber nichts daran, dass man bei zielgerichteten Angriffen auf die eigenen Geräte weiterhin schlechte Chancen hat. Denn da kommt es nur drauf an, dass in irgendeiner Software, die man nutzt eine Lücke ist, die ausgenutzt werden kann, denn dann hat der Angreifer Zugriff auf das Gerät.
Meine Empfehlung also: Suche dir einen kommerziellen Provider für Nextcloud, verschlüssele deine Daten lokal und synchronisiere sie mit dem freien Nextcloud-Client.